前言:想要寫出一篇引人入勝的文章?我們特意為您整理了工業(yè)控制系統(tǒng)信息安全防護思考范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:隨著“工業(yè)4.0”時代的來臨、“互聯(lián)網(wǎng)+”的提出以及“兩化融合”腳步的加快,工業(yè)控制系統(tǒng)也朝著智能化的方向迅速發(fā)展,越來越多的工業(yè)控制系統(tǒng)與辦公網(wǎng)、互聯(lián)網(wǎng)進行了連接,使得工業(yè)控制系統(tǒng)從原來封閉的“信息孤島”變?yōu)榱司W(wǎng)絡(luò)攻擊的主要目標(biāo)。本文針對當(dāng)前我國工業(yè)控制系統(tǒng)存在的問題,提出了工業(yè)控制系統(tǒng)的安全防護的工作建議,為工業(yè)控制系統(tǒng)的安全防護建設(shè)工作提供可參考的理論依據(jù)。
關(guān)鍵詞:工業(yè)控制系統(tǒng);安全防護;監(jiān)測預(yù)警;體系
1工業(yè)控制系統(tǒng)的安全問題
(1)意識不到位、組織無保障
對于工業(yè)控制系統(tǒng)信息安全問題,因為本廠、本行業(yè)沒有出現(xiàn)過安全事件,上級領(lǐng)導(dǎo)和主管單位沒有明確要求,國家和行業(yè)沒有參考標(biāo)準(zhǔn),多數(shù)企業(yè)表現(xiàn)出對工作沒有緊迫性。企業(yè)沒有中長期戰(zhàn)略,沒有預(yù)算開展本項工作,對于工業(yè)控制系統(tǒng)的信息安全,沒有主責(zé)領(lǐng)導(dǎo),沒有保障團隊,沒有工作體系。
(2)制度不完善、應(yīng)急靠經(jīng)驗
現(xiàn)在大部分行業(yè)還未形成完整的工業(yè)控制系統(tǒng)信息安全保障體系,缺乏工業(yè)控制系統(tǒng)規(guī)劃、建設(shè)、運維和廢止全生命周期的信息安需求,欠缺配套的管理體系、處理流程、人員責(zé)任等規(guī)定。對于安全事件預(yù)防、響應(yīng)、處置及應(yīng)急不夠健全,缺乏應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)化的事件處理流程,發(fā)生信息安全事件后通常依靠經(jīng)驗判斷安全事件影響范圍,嚴(yán)重性、逐一排查,響應(yīng)能力不高。
(3)技術(shù)尚不足,產(chǎn)品靠國外
目前,我國工業(yè)控制系統(tǒng)中的80%以上的PLC、操作系統(tǒng)、工業(yè)應(yīng)用軟件以及工業(yè)協(xié)議和標(biāo)準(zhǔn)接口依賴進口。國外產(chǎn)品不排除留有后門的可能性,以及工業(yè)控制系統(tǒng)暴露的安全漏洞逐年增多,給安全生產(chǎn)帶來了威脅。
(4)互聯(lián)互通,卻在裸奔
隨著OT技術(shù)和IT技術(shù)的不斷融合,工業(yè)控制系統(tǒng)逐步與辦公網(wǎng)、互聯(lián)網(wǎng)進行了互聯(lián),但是缺少安全防護措施。各系統(tǒng)之間未進行邊界防護,網(wǎng)絡(luò)中存在的威脅無法感知,病毒木馬入侵難以阻斷,違規(guī)操作、誤操作屢有發(fā)生,非法終端接入無法管控,安全事件不斷發(fā)生。
(5)人員欠專業(yè),情報未共享
工業(yè)控制系統(tǒng)信息安全是一個新興的交叉領(lǐng)域,要求從事該領(lǐng)域的技術(shù)人員既要懂工業(yè)控制系統(tǒng),又要有信息安全的知識,同時還要對網(wǎng)絡(luò)知識有所了解。目前,市場上也現(xiàn)成的復(fù)合型人才較少,專業(yè)人才的缺乏對工業(yè)控制網(wǎng)絡(luò)安全防護的發(fā)展形成明顯的制約。
2加強工業(yè)控制系統(tǒng)安全防護的工作建議
2.1確定工業(yè)控制系統(tǒng)目錄,實施分類分級管理
一是根據(jù)國家系列文件中關(guān)于工業(yè)控制系統(tǒng)的定義和范圍,以及我國工業(yè)控制系統(tǒng)承載業(yè)務(wù)的重要程度,明確劃定我國工業(yè)控制系統(tǒng)類別和范圍,制定我國工業(yè)控制系統(tǒng)目錄,建立針對工業(yè)控制系統(tǒng)核心控制器、工作站、服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等資產(chǎn)的認(rèn)定和清查登記制度,定期開展工業(yè)控制系統(tǒng)普查登記工作;二是盡快啟動我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全檢查,從涉及國計民生的關(guān)鍵業(yè)務(wù)入手,理清可能影響關(guān)鍵業(yè)務(wù)運轉(zhuǎn)的工業(yè)控制系統(tǒng),準(zhǔn)確掌握我國工業(yè)控制系統(tǒng)的安全狀況,科學(xué)評估面臨的網(wǎng)絡(luò)安全風(fēng)險,以查促管、以查促防、以查促改、以查促建,同時為構(gòu)建工業(yè)控制系統(tǒng)分類分級安全管理保障體系提供基礎(chǔ)性數(shù)據(jù)和參考;三是充分借鑒國外工業(yè)控制系統(tǒng)信息安全分類保護的先進經(jīng)驗和做法[2],按照國內(nèi)工業(yè)控制系統(tǒng)等級保護相關(guān)標(biāo)準(zhǔn)和規(guī)定要求,建立適用于我國不同工業(yè)控制系統(tǒng)的抗威脅能力分類分級安全管理體系,建立包括信息安全技術(shù)標(biāo)準(zhǔn)、信息安全保護計劃、信息安全預(yù)案等在內(nèi)的工業(yè)控制系統(tǒng)信息安全保護技術(shù)框架體系,根據(jù)系統(tǒng)特征提供針對性信息安全保護技術(shù)方案。
2.2健全工業(yè)控制系統(tǒng)安全監(jiān)管體系,加大監(jiān)管力度
(1)建立健全安全監(jiān)管工作機制
成立我國工業(yè)控制系統(tǒng)管理委員會,建立高效有力的網(wǎng)絡(luò)空間協(xié)調(diào)指揮機制;明確我國工業(yè)控制系統(tǒng)安全保護職能部門,具體負(fù)責(zé)我國工業(yè)控制系統(tǒng)的安全防護和管理工作,統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)與信息的安全保障工作;建立包括自評估、委托評估和檢查評估等不同形式的工業(yè)控制系統(tǒng)信息安全風(fēng)險評估制度。
(2)加大工業(yè)控制系統(tǒng)安全產(chǎn)品監(jiān)管與引導(dǎo)工作力度
一是建立工控產(chǎn)品分類、優(yōu)先級采購、測評認(rèn)證、觸發(fā)式調(diào)查和反調(diào)查等內(nèi)容在內(nèi)的供應(yīng)鏈安全風(fēng)險管理制度,對投入使用的工控產(chǎn)品進行安全準(zhǔn)入認(rèn)證;二是在當(dāng)前工控領(lǐng)域國外進口產(chǎn)品依然占據(jù)著主導(dǎo)地位的情況下,應(yīng)制定專門規(guī)定,敦促相關(guān)供應(yīng)商及時處理自身產(chǎn)品存在的漏洞、進行系統(tǒng)升級或安裝補丁;三是出臺激勵政策,鼓勵單位優(yōu)先采用性能可靠、具有自主知識產(chǎn)權(quán)的國產(chǎn)化工控和安全防護裝備;四是適時組織技術(shù)交流和調(diào)研,引導(dǎo)國外知名工控設(shè)備供應(yīng)商與國內(nèi)優(yōu)秀工控安全廠商開展合作。
(3)建立健全工控安全事件應(yīng)急響應(yīng)與處理機制
建立不同部門主導(dǎo)、不同目的和技術(shù)實現(xiàn)手段、針對不同對象建立健全包括應(yīng)急處理協(xié)調(diào)、指揮調(diào)度、安全信息通報、應(yīng)急處置預(yù)案、災(zāi)難備份設(shè)施、信息安全應(yīng)急支援服務(wù)在內(nèi)的信息安全應(yīng)急處置機制,建立完善事件分析和責(zé)任追究體制。
2.3鼓勵工業(yè)控制系統(tǒng)安全科技創(chuàng)新,提高防護水平
應(yīng)加快推進工業(yè)控制系統(tǒng)的關(guān)鍵技術(shù)突破和產(chǎn)品國產(chǎn)化進程,重點在工業(yè)控制領(lǐng)域協(xié)議安全、核心控制芯片、系統(tǒng)漏洞分析挖掘、系統(tǒng)完整性校驗、篡改恢復(fù)等關(guān)鍵技術(shù)方面實現(xiàn)突破,實現(xiàn)嵌入式工業(yè)可信安全終端、工控安全互聯(lián)中間件、訪問控制、工控診斷大數(shù)據(jù)平臺、安全運維監(jiān)管平臺、工業(yè)網(wǎng)絡(luò)APT防護、工控異常監(jiān)測系統(tǒng)、入侵誘捕和分析系統(tǒng)等產(chǎn)品產(chǎn)業(yè)化。
2.4開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn),強化人才培養(yǎng)
一是注重工業(yè)控制系統(tǒng)安全專業(yè)技術(shù)人才培養(yǎng)。政府應(yīng)加大投入,推動我國屬高校工控網(wǎng)絡(luò)安全學(xué)科建設(shè)和教學(xué)、實踐環(huán)境建設(shè),加強專業(yè)人才培養(yǎng)。二是單位加大工控安全專業(yè)從業(yè)人員專業(yè)技能培訓(xùn)力度。
2.5建立工業(yè)控制系統(tǒng)信息共享平臺,提升態(tài)勢感知能力
借鑒美國、歐盟等的先進經(jīng)驗,充分了解工業(yè)控制系統(tǒng)提供商、運營單位、政府部門、信息安全承包商、專家隊伍、公眾等各方對信息共享的需求[3],盡快建立有效的工業(yè)控制系統(tǒng)風(fēng)險信息共享機制,明確信息共享的條件,建立包括安全信息收集、上報、通報、匯總、分析、、共享以及共享主體、共享內(nèi)容、共享流程、共享的技術(shù)和政策保障措施等內(nèi)容的信息安全合作共享制度和公共服務(wù)平臺,打破“信息孤島”,建立態(tài)勢感知監(jiān)測預(yù)警平臺。
3結(jié)束語
本文針對我國當(dāng)前工業(yè)控制系統(tǒng)存在的問題,提出了相應(yīng)的安全防護工作建議,為我國工業(yè)控制系統(tǒng)安全防護建設(shè)工作提供可參考的理論依據(jù)。
作者:李季 單位:廣州地鐵集團有限公司